LIETUVOS TRANSPORTO SAUGOS ADMINISTRACIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL LIETUVOS TRANSPORTO SAUGOS ADMINISTRACIJOS DIREKTORIAUS 2019 M. BALANDŽIO 16 D. ĮSAKYMO NR. 2BE-109 „DĖL PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO TVARKOS APRAŠO PATVIRTINIMO“ PAKEITIMO

2021 m. rugsėjo 9 d. Nr. 2BE-242

Vilnius

P a k e i č i u Lietuvos transporto saugos administracijos direktoriaus 2019 m. balandžio 16 d. įsakymą Nr. 2BE-109 „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašo patvirtinimo“ ir jį išdėstau nauja redakcija:

„LIETUVOS TRANSPORTO SAUGOS ADMINISTRACIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO TVARKOS APRAŠO PATVIRTINIMO

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 24 straipsnio 1 dalimi:

1. T v i r t i n u Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašą (pridedama).

2. Į g a l i o j u asmenis, nurodytus Lietuvos transporto saugos administracijos direktoriaus 2018 m. gegužės 28 d. įsakyme Nr. 2BE-180 „Dėl Lietuvos transporto saugos administracijos duomenų apsaugos pareigūno skyrimo“, nagrinėti pranešimus apie asmens duomenų saugumo pažeidimus ir atlikti kitus veiksmus, numatytus Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos apraše.

3. I n f o r m u o j u, kad šis įsakymas nustatyta tvarka skelbiamas Teisės aktų registre ir Lietuvos transporto saugos administracijos interneto svetainėje.“

Administracijos direktorius Genius Lukošius

PATVIRTINTA

Lietuvos transporto saugos administracijos

direktoriaus

2019 m. balandžio 16 d. įsakymu Nr. 2BE-109

(Lietuvos transporto saugos administracijos

direktoriaus

2021 m. rugsėjo 9 d. įsakymo Nr. 2BE-242

redakcija)

PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMO TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo tvarkos aprašas (toliau –Aprašas) nustato pranešimo apie asmens duomenų saugumo pažeidimą (toliau – pranešimas) pateikimo, nagrinėjimo bei informacijos apie jį pateikimo duomenų subjektui ir Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija) tvarką.

2. Aprašas taikomas Lietuvos transporto saugos administracijai (toliau – Administracija) tvarkant duomenų subjektų asmens duomenis ir juridiniams asmenims, su kuriais sudaryta asmens duomenų tvarkymo sutartis, tvarkant asmens duomenis pagal Administracijos nurodymus (toliau – duomenų tvarkytojai).

3. Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), 33–34 straipsniais.

4. Apraše vartojamos sąvokos:

4.1. Asmens duomenų saugumo incidentu yra laikomas nutikimas, įvykęs tvarkant asmens duomenis, tačiau atsižvelgiant į asmens duomenų saugumo pažeidimo požymius nėra laikomas asmens duomenų saugumo pažeidimu;

4.2 Asmens duomenų saugumo pažeidimu yra laikomas incidentas, kurio metu netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami ar be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba be leidimo gaunama prieiga prie jų. Asmens duomenų saugumo pažeidimu laikomas saugumo incidentas, dėl kurio įvyksta (konkretus pažeidimas gali patekti į daugiau nei vieną kategoriją):

4.2.1. konfidencialumo pažeidimas – netyčinis ar neteisėtas asmens duomenų atskleidimas arba prieigos prie asmens duomenų suteikimas tam teisės neturintiems asmenims;

4.2.2. prieinamumo pažeidimas – netyčinis ar neteisėtas prieigos prie asmens duomenų praradimas arba asmens duomenų sunaikinimas;

4.2.3. vientisumo pažeidimas – netyčia ar neteisėtai atlikti asmens duomenų pakeitimai;

4.3. Pavojų duomenų subjektų teisėms ir laisvėms keliančiu laikytinas toks pažeidimas, dėl kurio duomenų subjektas galėtų patirti kūno sužalojimą, materialinę ar nematerialinę žalą, teisių ir laisvių apribojimą, diskriminaciją, galėtų būti pavogta ar suklastota asmens tapatybė, neleistinai panaikinti pseudonimai, pakenkta jo reputacijai, prarastas asmens duomenų, sudarančių profesinę paslaptį, konfidencialumas arba padaryta kita ekonominė ar socialinė žala.

5. Kitos Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Lietuvos Respublikos kibernetinio saugumo įstatyme.

II SKYRIUS

PRANEŠIMO APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ PATEIKIMAS IR NAGRINĖJIMAS

6. Administracijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu – darbuotojai), sužinojęs ar pats nustatęs galimą asmens duomenų saugumo pažeidimą:

6.1. nedelsdamas elektroniniu paštu ar telefonu informuoja Administracijos duomenų apsaugos pareigūną, įpareigotą atlikti Reglamento (ES) 2016/679 39 straipsnyje nurodytas užduotis, ir Administracijos duomenų apsaugos pareigūną, įpareigotą užtikrinti duomenų apsaugą informacinių technologijų srityje (toliau kartu – Administracijos duomenų apsaugos pareigūnai);

6.2. užpildo pranešimą (1 priedas) ir nedelsdamas, bet ne vėliau kaip per 2 darbo valandas nuo galimo asmens duomenų saugumo pažeidimo paaiškėjimo momento, užregistruoja jį Administracijos dokumentų valdymo sistemoje ir perduoda jį susipažinti Administracijos duomenų apsaugos pareigūnams;

6.3. jei įmanoma, imasi priemonių pašalinti asmens duomenų saugumo pažeidimą ir (ar) sumažinti galimas neigiamas jo pasekmes.

7. Duomenų tvarkytojai, sužinoję apie asmens duomenų saugumo pažeidimą, nedelsdami, bet ne vėliau kaip per 12 valandų nuo sužinojimo momento, apie tai praneša Administracijos duomenų apsaugos pareigūno el. paštu dap@ltsa.lrv.lt, pateikdami pranešimą, kurio turinys numatytas Reglamento (ES) 2016/679 33 straipsnio 3 dalyje, ir nurodydami tiek informacijos, kiek jos įmanoma pateikti tuo metu. Gautas pranešimas užregistruojamas Administracijos dokumentų valdymo sistemoje ir perduodamas susipažinti Administracijos duomenų apsaugos pareigūnams.

8. Administracijos duomenų apsaugos pareigūnai, gavęs darbuotojų užpildytą pranešimą ar duomenų tvarkytojų pranešimus (toliau kartu – pranešimas):

8.1. nedelsdami nagrinėja pranešime nurodytas aplinkybes;

8.2. įvertina, ar padarytas asmens duomenų saugumo pažeidimas;

8.3. įvertina asmens duomenų saugumo pažeidimo pavojų duomenų subjektų teisėms ir laisvėms;

8.3. jeigu gautos informacijos nepakanka įvertinti, ar padarytas asmens duomenų saugumo pažeidimas ir (ar) pažeidimo masto, − kreipiasi į pranešimą pateikusį asmenį dėl informacijos patikslinimo;

8.4. jei reikia, pasitelkia Administracijos Bendrųjų reikalų skyriaus darbuotojus (asmens duomenų, tvarkomų Administracijoje, saugumo pažeidimo atveju) ar duomenų tvarkytojų informacinių technologijų specialistus (asmens duomenų, tvarkomų pagal Administracijos nurodymus, saugumo pažeidimo atveju), jei asmens duomenų saugumo pažeidimas yra susijęs su elektroninės informacijos saugos ir kibernetiniu incidentu;

8.5. jei reikia, pasitelkia Administracijos Teisės ir rizikų valdymo skyriaus darbuotojus, jei asmens duomenų saugumo pažeidimas yra susijęs su teisės aktų pažeidimu bei siekiant tinkamai identifikuoti kylančias rizikas;

8.6. imasi visų įmanomų priemonių pašalinti asmens duomenų saugumo pažeidimą ir (ar) sumažinti galimas neigiamas jo pasekmes.

9. Duomenų tvarkytojai pateikia Administracijai visą prašomą informaciją, susijusią su informavimu apie asmens duomenų saugumo pažeidimą ir jo tyrimu, per Administracijos nurodytą terminą.

10. Administracijos duomenų apsaugos pareigūnai, atlikę galimai įvykusio asmens duomenų saugumo pažeidimo tyrimą ir nustatę, kad asmens duomenų saugumo pažeidimas nebuvo padarytas, surašo Asmens duomenų saugumo incidento ataskaitą (2 priedas) ir ją užregistruoja Administracijos dokumentų valdymo sistemoje.

11. Administracijos duomenų apsaugos pareigūnai, atlikę galimai įvykusio asmens duomenų saugumo pažeidimo tyrimą ir nustatę, kad asmens duomenų saugumo pažeidimas yra padarytas, surašo Asmens duomenų saugumo pažeidimo ataskaitą (3 priedas) ir ją užregistruoja Administracijos dokumentų valdymo sistemoje. Užpildyta ir Administracijos dokumentų valdymo sistemoje užregistruota Asmens duomenų saugumo pažeidimo ataskaita prilyginama Asmens duomenų saugumo pažeidimų registravimo žurnalui.

12. Asmens duomenų saugumo incidento ataskaita arba Asmens duomenų saugumo pažeidimo ataskaita pateikiama Administracijos direktoriui ir duomenų tvarkytojo vadovui, jei tai susiję su duomenų tvarkytojo atliekamais asmens duomenų tvarkymo veiksmais.

13. Asmens duomenų saugumo pažeidimo ataskaitoje numatomas būtinų techninių, organizacinių, administracinių ir kitų priemonių poreikis dėl asmens duomenų saugumo pažeidimo pašalinimo bei nurodomi atsakingi vykdytojai.

III SKYRIUS

INFORMAVIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ

14. Jeigu nustatoma, kad asmens duomenų saugumo pažeidimas nesukelia pavojaus duomenų subjektų teisėms ir laisvėms, apie asmens duomenų saugumo pažeidimą Inspekcija ir duomenų subjektas nėra informuojami.

15. Jeigu nustatoma, kad asmens duomenų saugumo pažeidimas kelia pavojų duomenų subjektų teisėms ir laisvėms, kaip nurodyta Aprašo 4.3 papunktyje, Administracijos duomenų apsaugos pareigūnai ne vėliau nei per 72 valandas nuo to laiko, kai buvo sužinota apie asmens duomenų saugumo pažeidimą, pateikia Inspekcijai Pranešimą apie asmens duomenų saugumo pažeidimą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-82(1.12.E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“.

16. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Administracijos duomenų apsaugos pareigūnai nepagrįstai nedelsdami praneša apie asmens duomenų saugumo pažeidimą duomenų subjektams pateikdami Pranešimą duomenų subjektams apie asmens duomenų saugumo pažeidimą (4 priedas).

17. Jeigu Inspekcija, išnagrinėjusi Aprašo 15 punkte nustatyta tvarka pateiktą pranešimą nustato, kad dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, Administracijos duomenų apsaugos pareigūnai nepagrįstai nedelsdami apie asmens duomenų saugumo pažeidimą informuoja duomenų subjektą, pateikdami Aprašo 16 punkte nurodytą Pranešimą duomenų subjektams apie asmens duomenų saugumo pažeidimą, jeigu duomenų subjektas nebuvo informuotas iki tol, ir imasi kitų Inspekcijos nurodytų veiksmų asmens duomenų saugumo pažeidimui pašalinti ar neigiamoms pažeidimo pasekmėms sumažinti.

18. Tuo atveju, kai yra įtariama, kad asmens duomenų saugumo pažeidimas turi nusikalstamos veikos požymių, Administracijos duomenų apsaugos pareigūnai informaciją apie galimą nusikalstamą veiką pateikia atitinkamoms valstybės institucijoms, įgaliotoms atlikti ikiteisminį tyrimą.

19. Kai padarytas asmens duomenų saugumo pažeidimas yra susijęs su kibernetiniu incidentu, informaciją apie kibernetinį incidentą, susijusį su asmens duomenų saugumo pažeidimu, Administracijos duomenų apsaugos pareigūnai pateikia Lietuvos Respublikos kibernetinio saugumo įstatyme nurodytoms valstybės institucijoms šio įstatymo nustatyta tvarka ir atvejais.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

20. Siekdama sustiprinti asmens duomenų apsaugą Administracija gali imtis papildomų, šiame Apraše nenumatytų apsaugos priemonių.

21. Šiame Apraše įtvirtintų nuostatų nesilaikymas laikomas tarnybinių (darbo) pareigų vykdymo pažeidimu ir už juos taikoma Lietuvos Respublikos teisės aktuose numatyta atsakomybė.

_____________